沙盒安装

1、打开控制面板

2、选择程序与功能

3、勾选Windows 沙盒，然后点击确定，等待安装完成即可。

沙盒配置

Windows 沙盒支持简单的配置文件，这些文件为沙盒提供最少的自定义参数集。 此功能可与 Windows 10 内部版本 18342 或 Windows 11 一起使用。 Windows 沙盒配置文件的格式为 XML，并通过.wsb文件扩展名与沙盒相关联。

配置文件使用户能够控制Windows 沙盒的以下方面：

• vGPU (虚拟化 GPU) ：启用或禁用虚拟化 GPU。 如果禁用 vGPU，沙盒将使用 Windows 高级光栅化平台 (WARP) 。
• 网络：启用或禁用沙盒中的网络访问。
• 映射的文件夹：共享具有 读取 或 写入 权限的主机中的文件夹。 公开主机目录可能会允许恶意软件影响系统或窃取数据。
• 登录命令：Windows 沙盒启动时执行的命令。
• 音频输入：将主机的麦克风输入共享到沙盒中。
• 视频输入：将主机的网络摄像头输入共享到沙盒中。
• 受保护的客户端：将 RDP 会话上增加的安全设置置于沙盒中。
• 打印机重定向：将打印机从主机共享到沙盒中。
• 剪贴板重定向：与沙盒共享主机剪贴板，以便可以来回粘贴文本和文件。
• 内存（MB）：要分配给沙盒的内存量（以 MB 为单位）。

备注: 沙盒窗口的大小目前不可配置。

创建配置文件

若要创建配置文件，请执行以下操作：

1. 打开纯文本编辑器或源代码编辑器 (例如记事本、Visual Studio Code等)

2. 插入以下行：

<Configuration>
</Configuration>

3. 在两行之间添加适当的配置文本。 有关详细信息，请参阅正确的语法和以下示例。

4. 使用所需名称保存文件，但请确保其文件扩展名为 .wsb。 在记事本中，应将文件名和扩展名括在双引号内，例如: "My config file.wsb"。

使用配置文件

若要使用配置文件，请双击它以根据其设置启动Windows 沙盒。 还可以通过命令行调用它，如下所示：

C:\Temp> MyConfigFile.wsb

关键字、值和限制

vGPU

启用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

• Enable：在沙盒中启用 vGPU 支持。
• Disable：在沙盒中禁用 vGPU 支持。 如果设置了此值，沙盒将使用软件呈现，这可能比虚拟化 GPU 慢。
• 默认 此值是 vGPU 支持的默认值。 目前，此默认值表示 vGPU 已禁用。

备注: 启用虚拟化 GPU 可能会增加沙盒的攻击面。

网络

启用或禁用沙盒中的网络。 可以禁用网络访问，以减少沙盒公开的攻击面。

<Networking>value</Networking>

支持的值：

• 启用：在沙盒中启用网络。
• 禁用：禁用沙盒中的网络。
• 默认值：此值是网络支持的默认值。 此值通过在主机上创建虚拟交换机来启用网络，并通过虚拟 NIC 将沙盒连接到该交换机。

备注: 启用网络可能会向内部网络公开不受信任的应用程序。

映射的文件夹

一个文件夹数组，每个文件夹表示主机上的一个位置，该位置将共享到指定路径处的沙盒中。 目前，不支持相对路径。 如果未指定路径，文件夹将映射到容器用户的桌面。

<MappedFolders><MappedFolder><HostFolder>absolute path to the host folder</HostFolder><SandboxFolder>absolute path to the sandbox folder</SandboxFolder><ReadOnly>value</ReadOnly></MappedFolder><MappedFolder>...</MappedFolder>
</MappedFolders>

• HostFolder：指定要共享到沙盒的主机上的文件夹。 该文件夹必须已存在于主机上，否则容器将无法启动。
• SandboxFolder：指定要将文件夹映射到的沙盒中的目标。 如果该文件夹不存在，则会创建该文件夹。 如果未指定沙盒文件夹，该文件夹将映射到容器桌面。
• ReadOnly：如果 为 true，则强制从容器内对共享文件夹进行只读访问。 支持的值： true/false。 默认为 false。

备注: 从主机映射的文件和文件夹可能会被沙盒中的应用入侵，或可能影响主机。

登录命令

指定沙盒登录后自动调用的单个命令。 沙盒中的应用在容器用户帐户下运行。 容器用户帐户应是管理员帐户。

<LogonCommand><Command>command to be invoked</Command>
</LogonCommand>

• 命令：容器中将在登录后执行的可执行文件或脚本的路径。

备注: 尽管非常简单的命令 (（例如启动可执行文件或脚本) ）工作，但涉及多个步骤的更复杂的方案应放在脚本文件中。 此脚本文件可以通过共享文件夹映射到容器中，然后通过 LogonCommand 指令执行。

音频输入

启用或禁用沙盒的音频输入。

<AudioInput>value</AudioInput>

支持的值：

• Enable：在沙盒中启用音频输入。 如果设置了此值，沙盒将能够接收用户的音频输入。 使用麦克风的应用程序可能需要此功能。
• Disable：禁用沙盒中的音频输入。 如果设置了此值，则沙盒无法接收来自用户的音频输入。 使用麦克风的应用程序可能无法正常使用此设置。
• 默认值：此值是音频输入支持的默认值。 目前，此默认值表示已启用音频输入。

备注: 向容器公开主机音频输入可能存在安全隐患。

视频输入

启用或禁用沙盒的视频输入。

<VideoInput>value</VideoInput>

支持的值：

• Enable：在沙盒中启用视频输入。
• Disable：禁用沙盒中的视频输入。 使用视频输入的应用程序可能无法在沙盒中正常运行。
• 默认值：此值是视频输入支持的默认值。 目前，此默认值表示视频输入已禁用。 使用视频输入的应用程序可能无法在沙盒中正常运行。

备注: 向容器公开主机视频输入可能存在安全隐患。

受保护的客户端

启用“受保护的客户端”模式后，沙盒通过在 AppContainer Isolation 执行环境中运行来添加一个新的安全边界层。

AppContainer 隔离提供凭据、设备、文件、网络、进程和窗口隔离。

<ProtectedClient>value</ProtectedClient>

支持的值：

• Enable：在受保护的客户端模式下运行 Windows 沙盒。 如果设置了此值，沙盒将在 AppContainer Isolation 中运行。
• Disable：在标准模式下运行沙盒，无需额外的安全缓解措施。
• 默认值：此值是受保护的客户端模式的默认值。 目前，此默认值表示沙盒不在受保护的客户端模式下运行。

备注: 此设置可能会限制用户在沙盒中复制/粘贴文件的能力。

打印机重定向

启用或禁用从主机到沙盒的打印机共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

• Enable：允许将主机打印机共享到沙盒中。
• Disable：在沙盒中禁用打印机重定向。 如果设置了此值，则沙盒无法从主机查看打印机。
• 默认值：此值是打印机重定向支持的默认值。 目前，此默认值表示打印机重定向已禁用。

剪贴板重定向

启用或禁用与沙盒共享主机剪贴板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

• Enable：允许与沙盒共享主机剪贴板。
• Disable：禁用沙盒中的剪贴板重定向。 如果设置了此值，将限制复制/粘贴到沙盒和沙盒外。
• 默认值：此值是剪贴板重定向的默认值。 目前， “默认”下允许在主机和沙盒之间复制/粘贴。

内存（以 MB 为单位）

指定沙盒可以使用的内存量（以 MB 为单位）， (MB) 。

<MemoryInMB>value</MemoryInMB>

如果指定的内存值不足以启动沙盒，则会自动将其增加到所需的最小值。

示例 1

以下配置文件可用于在沙盒中轻松测试下载的文件。 为了实现此测试，将禁用网络和 vGPU，并允许沙盒对共享下载文件夹进行只读访问。 为方便起见，登录命令在启动时会在沙盒中打开 downloads 文件夹。

Downloads.wsb

<Configuration><VGpu>Disable</VGpu><Networking>Disable</Networking><MappedFolders><MappedFolder><HostFolder>C:\Users\Public\Downloads</HostFolder><SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder><ReadOnly>true</ReadOnly></MappedFolder></MappedFolders><LogonCommand><Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command></LogonCommand>
</Configuration>

示例 2

以下配置文件在沙盒中安装 Visual Studio Code，这需要稍微复杂的 LogonCommand 设置。

两个文件夹映射到沙盒中;第一个 (SandboxScripts) 包含 VSCodeInstall.cmd，它将安装和运行Visual Studio Code。 假定第二个文件夹 (CodingProjects) 包含开发人员希望使用 Visual Studio Code 修改的项目文件。

由于 Visual Studio Code 安装程序脚本已映射到沙盒，LogonCommand 可以引用它。

VSCodeInstall.cmd

将 vscode 下载到 downloads 文件夹并从文件夹运行 downloads 。

REM Download Visual Studio Code
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Downloads\vscode.exeREM Install and run Visual Studio Code
C:\users\WDAGUtilityAccount\Downloads\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

<Configuration><MappedFolders><MappedFolder><HostFolder>C:\SandboxScripts</HostFolder><SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads\sandbox</SandboxFolder><ReadOnly>true</ReadOnly></MappedFolder><MappedFolder><HostFolder>C:\CodingProjects</HostFolder><SandboxFolder>C:\Users\WDAGUtilityAccount\Documents\Projects</SandboxFolder><ReadOnly>false</ReadOnly></MappedFolder></MappedFolders><LogonCommand><Command>C:\Users\WDAGUtilityAccount\Downloads\sandbox\VSCodeInstall.cmd</Command></LogonCommand>
</Configuration>

示例 3

以下配置文件运行 PowerShell 脚本作为登录命令，以交换左手用户的鼠标主按钮。

C:\sandbox 主机上的 文件夹映射到 C:\sandbox 沙盒中的 文件夹，因此 SwapMouse.ps1 可以在沙盒配置文件中引用脚本。

SwapMouse.ps1

使用以下代码创建 powershell 脚本，并将其 C:\sandbox 作为 保存在目录中 SwapMouse.ps1。

[Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms") | Out-Null$SwapButtons = Add-Type -MemberDefinition @'
[DllImport("user32.dll")]
public static extern bool SwapMouseButton(bool swap);
'@ -Name "NativeMethods" -Namespace "PInvoke" -PassThru$SwapButtons::SwapMouseButton(!([System.Windows.Forms.SystemInformation]::MouseButtonsSwapped))

SwapMouse.wsb

<Configuration><MappedFolders><MappedFolder><HostFolder>C:\sandbox</HostFolder><SandboxFolder>C:\sandbox</SandboxFolder><ReadOnly>True</ReadOnly></MappedFolder></MappedFolders><LogonCommand><Command>powershell.exe -ExecutionPolicy Bypass -File C:\sandbox\SwapMouse.ps1</Command></LogonCommand>
</Configuration>